JumpCloud Uzaktan Yardım güvenlik açığı (CVE-2025-34352), Windows sistemlerini yerel ayrıcalık yükseltme ve hizmet reddi saldırılarına maruz bırakır. XM Cyber araştırmacısı Hillel Pinto tarafından keşfedilen kusur, aracının kaldırıcısındaki güvenli olmayan dosya işlemlerinden kaynaklanıyor.
Windows için JumpCloud Remote Assist aracısı, 0.317.0’dan önceki sürümler, NT AUTHORITY\SYSTEM olarak çalışır ve kullanıcı tarafından kontrol edilen %TEMP% dizininde uygun doğrulama olmadan dosya oluşturma, yazma, silme ve yürütme işlemlerini gerçekleştirir.
Bu, düşük ayrıcalıklı yerel saldırganların, rastgele dosya manipülasyonu için sembolik bağlantılardan veya bağlama noktalarından yararlanmasına olanak tanır. 180.000’den fazla kuruluş tarafından kullanılan bir bulut dizin hizmeti olan JumpCloud, politikaları uygulamak ve uzaktan erişimi desteklemek için bu aracıyı yönetilen uç noktalara dağıtır.
XM Siber analizi, ana JumpCloud aracısının, kendi kaldırma işlemi sırasında Remote Assist kaldırma işlemini tetiklediğini ortaya koyuyor. Kaldırıcı, yeni içeriği yazıp çalıştırmadan önce %TEMP%~nsuA.tmp dosyasındaki Un_A.exe gibi dosyaları kontrol eder ve mevcut olanları siler.
Saldırganlar bu dizini zayıf izinlerle önceden oluşturabilir, işlemleri bağlantı izleme (CWE-59) veya geçici dosya sorunları (CWE-378) yoluyla yeniden yönlendirebilir. Go ikili meta veri kurtarmanın yardımıyla tersine mühendislik, ortam değişkenlerinden yürütmeye kadar yol oluşumunu izler.
DoS için, saldırganlar %TEMP%~nsuA.tmp’den \RPCControl gibi bir sistem dizinine bir bağlama noktası oluşturuyor, ardından cng.sys gibi sürücülerin üzerine yazmak için Un_A.exe sembolik bağlantısını oluşturarak çökmeleri tetikliyor.
Ayrıcalık yükseltme, C:\Config.Msi üzerinde oplock’lu bir TOCTOU yarışını kullanır ve Windows Installer hileleri yoluyla SİSTEM kabuğunu etkinleştirmek için silme işlemlerini yeniden yönlendirir. Bu temel öğeler, kalıcı uç nokta kontrolü sağlayarak kurumsal ortamlardaki riskleri artırır.
Kuruluşların hemen JumpCloud Remote Assist 0.317.0 veya sonraki bir sürümüne yükseltme yapması gerekir. Güvenlik ekipleri, kullanıcı tarafından yazılabilen yollardaki işlemler için aracıları denetlemeli, geçici dizinlerde ACL’leri zorunlu kılmalı ve kaldırma tetikleyicilerini izlemelidir. JumpCloud, açıklamanın ardından sorunu doğruladı ve düzeltmeyi hemen yayınladı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
